Onlinebanking der Zukunft: kompliziert, umständlich, (un)sicherer mit PSD2?
Die Wahl des richtigen Verhältnisses von Sicherheit und Komfort ist nicht immer ganz einfach. Beide Wünsche stehen nicht selten im direkten Gegensatz zueinander.
So ist eine Zwei-Faktor-Authentifizierung mittels Token-Generator regelmäßig eine gute Wahl. Token-Generatoren (oder im Sprachgebrauch oft kurz „Tokens“ genannt) generieren alle paar Sekunde eine neue – ebenfalls wieder nur einige Sekunden lang gültige – mehrstellige Zahlen- und/oder Ziffernfolge. Nur wer Benutzername und Passwort kennt und im Besitz eines gültigen Token-Generators ist, kann sich am System anmelden. Sehr bekannter Vertreter vor allem im geschäftlichen Umfeld ist die Firma RSA1)https://www.rsa.com/de-de/products.
Leider ist das Verfahren in der Anwendung recht kompliziert. Wer möchte schon für jedes System, an dem er sich anmeldet, ein extra Gerät mit sich herumschleppen. Es wäre ein Token-Generator nötig für Onlinebanking, Rechneranmeldung, VPN, E-Mail, Webseiten, Cloud-Dienste usw. Schier unendlich erscheint die Menge an Tokens, die man ständig parat haben müsste.
Um dem Problem zu entgehen gibt es für Handys auch Apps, die die Funktion simulieren.
Eine der ersten und tatsächlich bis heute sehr gut funktionierenden Apps ist der Authenticator von Google. Die App läuft flüssig, zuverlässig und unterstützt alle namhaften Anbieter. Es gibt Versionen für iPhones genauso wie für Android Geräte. Die App wird von Google regelmäßig mit Sicherheitsupdates versorgt und Google ist bekannt dafür, freien Entwicklern und Hackern gerne mal eben knapp 30.000,- € zu überweisen wenn sie Sicherheitslücken aufdecken5)https://www.google.com/about/appsecurity/reward-program/.
Bei so einem Programm habe ich erstens selbst die Wahl, so eine App zu verwenden und zweitens habe ich ein gutes Gefühl.
Ich nutze den Google Authenticator regelmäßig, um mich bei Diensten aller Art anzumelden:
- Microsoft6)https://partner.microsoft.com/de-DE/
- Slack 7)https://slack.com/intl/de-de/
- Google 8)https://www.google.de/?hl=de
- Facebook 9)https://www.facebook.com/
- ZoHo 10)https://www.zoho.com/
- Autotask 11)https://www.autotask.com/de/losungen/endpoint-management
- IT Glue 12)https://www.itglue.com/
- Zapier 13)https://zapier.com/app/login/
- SolarWinds 14)https://www.solarwindsmsp.com/products
…bis hin zur Anmeldung auf unserer eigenen Webseite, um genau diesen Artikel hier zu schreiben. Nur um mal ein paar wenige Beispiele zu nennen.
Und dann kommt die EU mit ihrer neuen Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern daher. PSD2 heisst sie. Wer mich kennt, der weiß, dass ich großer Befürworter der EU bin.
Die PSD2 ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind
– die Sicherheit im Zahlungsverkehr zu erhöhen,
aus der Webseite der Bundesbank15)https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434
– den Verbraucherschutz zu stärken,
– Innovationen zu fördern und
– den Wettbewerb im Markt zu steigern.
Soweit die Richtlinie. So weit, so gut.
Jetzt verschicken aber die Banken in den vergangenen Wochen Informationsbriefe und Newsletter an ihre Kunden, in denen sich das irgendwie nicht so nach Stärkung des Verbraucherschutzes anhört, nach Innovation und Wettbewerb am Merkt erst Recht nicht.
Ich zitiere gleich mal unsere eigene Hausbank, die als Münchner Privatbank eigentlich mit gutem Vorbild voran gehen sollte. Da heisst es:
Ab dem 11. September 2019 werden Zahlungen im Internet und damit auch das Online-Banking noch sicherer. Deshalb ist die Eingabe einer Transaktionsnummer (TAN) zukünftig nicht mehr nur dann erforderlich, wenn Sie eine Zahlung, wie beispielsweise eine Überweisung oder Umbuchung auslösen, sondern bereits bei der Anmeldung im Online-Banking. Was sich darüber hinaus noch ändert? [Link zur Webseite]
aus dem Newsletter der Bank vom 4.9.2019, zu dem ich mich nie bewusst angemeldet hab
Und auf deren Webseite heisst es weiter:
Das mobileTAN-Verfahren (TAN per SMS) werden wir zukünftig nicht mehr anbieten. Damit folgen wir einer Empfehlung des Bundesamts für Sicherheit in der Informationstechnik.
Webseite der Merkur Bank16)https://www.merkur-bank.de/privatbank/service/sicherheit/tipps-zum-sicheren-online-banking.html
Aha. SMS TAN ist also unsicher oder wie? Davon steht aber in der EU Richtlinie nichts drin. Habe ich das übersehen, obwohl ich mehrfach danach gesucht habe?
Oder haben möglicherweise meine lieben Freunde vom BSI, die sogar der Meinung sind Virenscanner für Macs seien Unsinss17)https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Publikationen/BSIe010-Mac_OS_X_Mountain_Lion.pdf?__blob=publicationFile&v=1, wieder mal eine fragwürdige Stellungnahme veröffentlich und alle folgen dieser, ohne es zu hinterfragen?
Für was gibt die Regierung eigentlich hunderte Millionen für externe Berater aus, die es wissen sollten? Seien wir mal ehrlich, vom BSI erwarte ich eigentlich, dass dort eigene Fachleute sitzen, die mehr Ahnung haben.
Aber gehen wir noch kurz einen Schritt zurück. Was genau besagt die EU Richtlinie denn eigentlich? Hier zitiere ich für diesen Artikel nur auszugsweise eine einzige Passage aus der DELEGIERTE[N] VERORDNUNG (EU) 2018/389 DER KOMMISSION vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (Text von Bedeutung für den EWR):
[…] muss die Authentifizierung auf mindestens zwei Elementen der Kategorien Wissen, Besitz und Inhärenz basieren und die Generierung eines Authentifizierungscodes nach sich ziehen.
Kap. II Art. 4 (1)18)https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389
Zwei Elemente aus Wissen, Besitz und Inhärenz. Inhärenz im Detail zu erklären führt hier technisch zu weit, beschränken wir uns gedanklich auf Wissen und Besitz. Derzeit sind folgende Faktoren wohl gängig:
- Banking Zugangskennung und/oder Benutzeranmeldedaten (bekommt man schriftlich per Einschreiben, von der Fiducia oder anderem Institut verwaltet)
- Banking PIN (meist fünfstellig, kann man selbst festlegen und die Bank kann diese auch nicht nachsehen)
- SMS TAN (gebunden an Handynummer, was über die Bundesnetzagentur verbindlich reguliert wird).
So gesehen haben wir also schon heute mehr als das, was die EU fordert. Nämlich zwei Dinge, die ich kennen muss (Zugangskennung und PIN) sowie ein Ding das ich haben muss (Handy, auf das die SMS geschickt wird). Man korrigiere mich, wenn ich mit meiner Einschätzung falsch liege.
Da steht natürlich noch viel mehr drin, wer mag, kann sich die Richtlinie ja im Ganzen durchlesen. Das Original ist, wie immer, unten in den Quellenangaben verlinkt19)https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389. Im Wesentlichen aber sehe ich hier nichts, was SMS als unsicher bezeichnet.
Und übermorgen, am 14. September 2019, soll nun irgendwie alles in Kraft treten. Alles heisst dann konkret was?
Schauen wir mal weiter, was das BSI dazu zu sagen hat. Nunja, eine so ganz uneingeschränkt ablehnende Haltung ist da nicht zu erkennen. Aber in der Tat, in einem Satz schreibt das BSI dann wieder
Das BSI empfiehlt daher, auf den Einsatz von mTAN-Verfahren zu verzichten.
aus der Webseite des BSI20)https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/mTAN-Verfahren.html
Direkt im Anschluss nennt das BSI aber zwei Empfehlungen, wie man das mTAN-Verfahren sicher machen kann. Und wieder denke ich mir beim Lesen, das haben wir doch alles seit Jahrzehnten. Was soll denn der ganze Hype?
Erschwert wird ein solcher Angriff durch das sogenannte Dynamic Linking. Dabei fließen in die Erzeugung der TAN auch die Überweisungsdaten ein, so dass weder der Betrag noch das Ziel-Konto nachträglich verändert werden können.
(…)
In der SMS sollten neben der TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag stehen. Diese sollten Sie vor Eingabe der TAN prüfen. Sollten hier Unstimmigkeiten bestehen, brechen Sie die Transaktion im Zweifel ab und setzen Sie sich mit Ihrer Bank in Verbindung.
aus der Webseite des BSI21)https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/mTAN-Verfahren.html
So gesehen ist unser SMS TAN Verfahren ja eigentlich doch nicht unsicher. Was denn nun, liebes BSI?
Es wäre aber nicht das BSI, wenn es nicht gleich noch einen draufsetzen würde. Wir fassen zusammen: wir sollen also kein SMS TAN Verfahren mehr benutzen, sondern auf eine Authentifizierungsapp umstellen.
Ich zitiere das BSI weiter:
Beachten Sie aber, dass dieser Sicherheitsvorteil beim Online-Banking mit dem Smartphone nicht gegeben ist.
aus der Webseite des BSI22)https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/mTAN-Verfahren.html
Wenn ich also auf dem Smartphone Banking durchführe – ich wiederhole aus der Einleitung zum Sinn der Richtlinie „Innovationen zu fördern“ – dann darf ich natürlich keine Sicherheit mehr erwarten.
Liebes BSI, überlegt euch doch hin und wieder mal was Ihr schreibt, bevor so etwas veröffentlicht wird. Wenn es überhaupt einen berechtigten Hintergrund haben sollte, auf SMS TAN verzichten zu müssen, dann begründet es gar nicht oder stichhaltig. Aber bitte nicht mit solchen Beiträgen, die doch recht laienhaft anmuten.
Ob ich meiner Bank dafür einen Vorwurf machen kann… naja, auf Antwort auf meine Anfrage hierzu warte ich seit über einer Woche. Das finde ich schon etwas unangemessen. Aber schlussendlich sollte man sich ja eigentlich auf die Aussagen des BSI verlassen können.
Wenn ich denn wenigstens meinen Google Authenticator auch für alle meine Bankgeschäfte verwenden könnte, dann könnte ich sehr gut damit leben. Das wäre für mich sogar ein Fortschritt, denn es ist bequem und wie eingangs geschildert meines Erachtens sicher.
Genau das geht aber auch nicht. Jedes Kreditinstitut bastelt seine eigene App.
Die Leute, die es also in dreißig Jahren nicht geschafft haben, eine ordentliche Bankingsoftware zu entwickeln, schreiben jetzt die App die mein Konto schützen soll. Die Zwei-Sterne-Bewertung mit mehreren hundert Bewertern im App Store verheisst nichts Gutes…
Bei anderen Apps anderer Banken ist die Situation vielleicht etwas besser. Das Grundproblem aber bleibt: für jede Bank brauche ich wieder eine weitere extra App auf dem Handy, die Strom frisst und ein potenzielles Sicherheitsrisiko darstellt.
Wo soll der Sicherheitsgewinn gegenüber SMS gegeben sein, wenn ich statt dessen nicht mehr auf die SMS angewiesen bin die ich nicht einfach mal so eben im GSM Netz abfangen kann gegenüber der Verwendung lauter einzelner Apps von unbekannten Softwareherstellern, die es nicht einmal schaffen eine nach Handy-Updates weiterhin funktionierende App zu bauen?
Ich sehe das als klaren Rückschritt in Sachen Sicherheitsniveau. Ein Taschendieb klaut ein Handy, zu dem er die PIN erspäht hat. Das dürfte nicht all zu selten vorkommen. Damit kann er dann die Banking App auf dem Handy starten und Transaktionen vornehmen, die er über die Handy-App auf ebendemselben gestohlenen Mobiltelefon legitimieren kann.
Die nächste Frage, die sich unweigerlich stellt, ist, was passiert wenn das Handy weg ist? Ersatz-SIM mit Ersatzhandy funktioniert dann nicht mehr. Genauso sieht es aus, wenn ein anderes Problem besteht. Wie beispielsweise, dass nach Softwareupdate der TAN Generator nicht mehr funktioniert. Den Bewertungen der verschiedenen Kreditinstitut-Apps nach passiert das leider regelmäßig24)https://play.google.com/store/apps/details?id=de.fiducia.smartphone.android.securego.vr&hl=de25)https://apps.apple.com/de/app/securego/id1034784749. Dann ist natürlich keinerlei Transaktion mehr möglich. Selbst das einfache Abrufen des Kontostandes könnte dann unmöglich sein.
Springen wir gedanklich doch noch einmal kurz zurück zum Thema erhöhte Sicherheit. Die Postbank hat eine Zwischenspeicherung für das Anmeldepasswort eingebaut. Authentifiziert wird man dann ausschließlich nur noch über die Best Sign App per Fingerabdruck am Handy26)https://www.postbank.de/privatkunden/bestsign-app.html. Nach meinem Verständnis ist das nur ein einziger Faktor, der zur Durchführung einer Transaktion nötig ist. Das „Mehr“ an Sicherheit sehe ich hier nicht unbedingt gegeben.
Richtig gespannt bin ich auch, was mit den Systemen der Genossenschaftsbank passieren wird. Die Information darüber, dass es eine App gibt27)https://www.genobamuc.de/service/mobile-apps.html haben wir nicht bewusst gelesen sondern erst in Eigenrecherche herausgefunden. Vielleicht stand es im Kleingedruckten. Wir haben interessehalber mal ein Uralt-Verfahren mittels Sicherheitsmedium auf Diskette versucht und siehe da, das funktioniert – zumindest Stand heute – nach wie vor. Ein Passwort wird bei diesem Verfahren gar nicht benötigt. Die Sicherheit im Zahlungsverkehr wird dadurch also nicht erhöht wie es die Richtlinie eigentlich impliziert, von Innovationsförderung mal ganz zu schweigen. Mal sehen, ob das nächste Woche auch noch so ist, ich werde berichten.
Im Geschäftsleben stellen sich dann noch viele weitere Fragen. Die bisweilen verwendete HBCI Schnittstelle funktoniert bei vielen Instituten nicht mehr. Bisher verwendete Unternehmens-Bankingprogramme funktionieren demnach auch nicht mehr. Ebenso wie Schnittstellen zu Warenwirtschaftssystemen, Finanzbuchhaltung und Co. An allen Ecken und Enden muss nachgebessert werden, die Frage ist allerdings oft, was dann eine dauerhafte Lösung wäre. Die Informationen der Banken hierzu, die es im Vorfeld gab, sind mehr als lückenhaft. Von heute auf morgen ist eine Anmeldung in vielen Bestandssystemen schlicht und ergreifend nicht mehr möglich und es gibt keinen adäquaten Ersatz dafür.
Und all das auf Basis der Empfehlung des BSI, das – man kann es nicht deutlich genug sagen – der Meinung ist, dass man auf Apple Geräten auch bei Einsatz von Bankingsoftware generell keinen Virenschutz und dergleichen benötigt28)https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Publikationen/BSIe010-Mac_OS_X_Mountain_Lion.pdf?__blob=publicationFile&v=1. Ich frage mich, wieso wir immer wieder Macs in die Werkstatt bekommen, auf denen Malware ihr Unwesen treibt. Und von Phishing-Webseiten, die beispielsweise über gefälschte Paypal-Webseiten versuchen die Passwörter auszuspähen, schützt einen Apple ebenfalls nicht. Insofern stelle ich mich hier ganz klar gegen die Aussage des BSI und jeder Datenschutzbeauftragte, mit dem ich dazu gesprochen hat, bestätigt meine Einschätzung.
Für mich ist das ein klarer Fall von Inkompetenz mit enormen negativen Auswirkungen für die breite Masse.
Wie immer am Ende eines solchen Klartext-Artikels gegen große Unternehmen: just my two cents. Soll heißen, die Angaben stellen nur meine persönliche Meinung dar. Mein Name ist Patrick Ruppelt, und das ist meine Meinung.
Quellenverzeichnis
sicherer mit PSD2?){kind=link}